Ciao a tutti, 🤝 quando un blocco di Lego crolla, il grattacielo costruito su di esso può davvero salvarsi?
L'attacco hacker rsETH del 18 aprile 2026 (il ponte cross-chain di base è stato compromesso, portando a un'emissione massiccia di token falsi), non è stata solo un incidente di sicurezza, ma un test estremo della capacità di resistenza dell'intero ecosistema DeFi.
Come leader nel prestito del settore, Aave è stato coinvolto passivamente in questa tempesta.
Questa crisi ha messo in luce non solo la vulnerabilità delle infrastrutture cross-chain, ma ha anche esposto crudelmente i problemi di cattivi debiti all'interno di Aave, la gestione dei tassi d'interesse e i rischi delle 'strategie ad alto rendimento' che durano da tempo.
Questo articolo, basato sulla prospettiva dell'ex fornitore di servizi di rischio di Aave, Chaos Labs (nota: ha terminato la collaborazione operativa con Aave il 6 aprile), analizza in profondità le controversie centrali di questa tempesta e come l'industria DeFi dovrebbe dire addio alla “fiducia cieca”.
Uno, i crediti deteriorati sospesi sopra la testa: chi pagherà per questi oltre un miliardo di dollari?
Attualmente, il problema più scottante che Aave affronta è: chi deve sopportare i pesanti crediti deteriorati causati dal crollo di rsETH?
Attualmente, a livello pubblico e di governance, ci sono due percorsi completamente diversi in una violenta contesa.
Percorso A: Isolamento L2 (scaricare le perdite sulla rete di secondo livello).
In questa struttura, l'emittente del protocollo Kelp sarà costretto ad adottare un modo di fare finanziario chiamato “priorità (Tranche)”:
Considera rsETH sulla rete principale (Mainnet) come “tranche senior”, ovvero a capitale garantito e rendimento sicuro.
Considera rsETH sulle reti di secondo livello (come Arbitrum e altri L2) come “tranche junior”, quindi ad alto rischio, che prima assorbe le perdite.
Se si adotta questa soluzione, Aave affronterà un credito deteriorato fino a 230 milioni di dollari, e questa colossale perdita sarà interamente a carico dei depositanti su L2, mentre i ricchi della rete principale non subiranno alcun danno. Questo non è solo estremamente ingiusto, ma porterà anche a un crollo della fiducia da parte degli utenti di L2.
Percorso B: un grande piatto per tutti.
Questo è un quadro di “solidarietà nelle difficoltà”. Le perdite non si dividono tra rete principale e L2, ma vengono suddivise tra tutti i rifornimenti di rsETH sulla rete. Se si adotta questa soluzione, l'ammontare totale dei crediti deteriorati di Aave sarà ridotto a 125 milioni di dollari (di cui 92 milioni provengono dalla rete principale).
A chi spetta la decisione finale? Non è qualcosa che Aave può decidere unilateralmente, ma dipende dall'emittente Kelp e dal piano finale di risarcimento e accettazione degli asset.
Fino ad ora, questo rimane un enigma senza risposta.
Due, la regolazione dei tassi di interesse di Aave: si tratta di spegnere un incendio o di gettare benzina sul fuoco?
Di fronte al panico, i depositanti su Aave hanno ritirato in modo frenetico fino a 10 miliardi di dollari in fondi entro 72 ore dall'evento, dando vita a un'epica corsa al deflusso.
Per affrontare la crisi, gli attuali gestori del rischio di Aave (LlamaRisk e altri) hanno attuato operazioni estreme di “abbassamento dei tassi” nel mercato WETH: riducendo drasticamente il tasso di interesse massimo.
Perché, di fronte a un deflusso, si dovrebbe abbassare il tasso di interesse?
Questa è una strategia di “salvataggio” senza alternative. Normalmente, se non ci sono soldi nella pool, il sistema aumenterà automaticamente il tasso di interesse sui prestiti, costringendo i debitori (Borrower) a restituire rapidamente il denaro. Ma in condizioni di mercato estreme:
I debitori o non possono restituire il prestito perché i loro asset sono bloccati;
o hanno già utilizzato un leverage estremo (operazione a pieno carico). Se a questo punto si fa impennare il tasso di interesse, non farà altro che aumentare il debito del prestatore a dismisura, portando infine a una liquidazione massiccia (fallimenti a catena). Abbassare il tasso di interesse è per dare ai debitori che non sono coinvolti nella tempesta di rsETH una via d'uscita, per prevenire il panico che si diffonda ad altri asset sani.
Ma il prezzo da pagare è pesante: il taglio dei tassi ha seriamente danneggiato quei depositanti che hanno continuato a fornire liquidità su Aave durante i momenti di crisi. Loro si sono assunti il rischio maggiore ma non ricevono l'adeguato compenso per l'alto interesse. Questa è una “dilemma irrisolvibile” nella governance DeFi.
Tre, il destino del Looping (prestiti circolari): alti rendimenti devono essere accompagnati da alti rischi.
Durante questa tempesta, molte voci hanno accusato Aave: è proprio perché ha consentito agli utenti di giocare senza limiti con il Looping che ha amplificato l'ammontare dei crediti deteriorati, e deve essere completamente bloccato!
💡 【解析】Looping (prestiti circolari/leverage circolare): supponiamo che tu depositi 100 ETH, il sistema ti consente di prendere in prestito 70 ETH. Usando questi 70 ETH per acquistare ulteriori ETH da depositare, e poi continuando a prendere in prestito... Attraverso questo ciclo di “piede sinistro che calpesta il piede destro”, puoi moltiplicare il tuo capitale di diversi fattori, ottenendo rendimenti di staking (Carry) ben superiori al capitale iniziale.
È davvero possibile bloccare il Looping?
I dati parlano chiaro: secondo il rapporto di trasparenza ACI, la strategia di Looping ha contribuito al 40% del reddito totale del protocollo Aave nel 2025 e al 35% del totale dei fondi bloccati (TVL)! Il Looping non è affatto un gioco marginale, è il modello commerciale e la gallina dalle uova d'oro più centrale per Aave e per l'intero settore del prestito DeFi.
La realtà è ancora più cruda: con i tassi di rendimento dei titoli di stato americani tradizionali sempre più alti, se DeFi non può offrire rendimenti superiori a quelli dei titoli di stato, i fondi non esiteranno a ritirarsi dal mondo on-chain.
Il Looping è attualmente l'arma finale in DeFi in grado di amplificare i rendimenti in modo legale. Bloccare il Looping equivale a tagliarsi le braccia. Questo settore deve trovare un equilibrio dinamico tra “sicurezza estrema” e “rendimento elevato”, e non dovrebbe rinunciare a causa di esplosioni impreviste.
Quattro, la riflessione sul Lego DeFi: la “pooling” e la “composabilità” sono un veleno mortale.
Questo evento ha nuovamente suscitato un grande dibattito sull'architettura sottostante.
1. Grande piatto (pooling) vs compartimenti stagni (mercati isolati) Aave ha a lungo utilizzato un modello Pooled (pooling/ liquidità condivisa): tutti gli asset sono mescolati in un grande fondo.
Il suo vantaggio è che l'utilizzo dei fondi è estremamente elevato, tutti possono guadagnare grandi soldi; ma il difetto mortale è che, se c'è un asset spazzatura che esplode nella pool, l'intera pool deve affondare con esso. Rispetto a questo, i mercati isolati (Isolated Markets) sono come i compartimenti stagni su una nave, se uno compartimento prende acqua, non affonda l'intera nave, ma il costo è un rendimento molto basso e liquidità esaurita.
Non ci sono verità assolute in questi due modelli, la chiave è: quando gli utenti vedono quel super alto APY (tasso di rendimento annuale) sulla homepage, sanno veramente di trovarsi seduti su un pacco di esplosivo pronto a detonare?
2. La doppia lama della composabilità Si dice spesso che DeFi sia come un Lego, che può essere combinato all'infinito. Ma quando il ponte cross-chain (emittente di rsETH) viene violato dagli hacker e vengono stampati infiniti falsi token, anche Aave a monte verrà avvelenato in un attimo.
Dobbiamo davvero subire in silenzio questo destino di “avvelenamento a livello inferiore e morte a livello superiore”? In realtà, non è affatto necessario. La soluzione finale a questa arma a doppio taglio è **“Oracle di prova delle riserve (Proof-of-Reserves Oracle)” e “meccanismo di interruzione (Circuit Breakers)”**.
Se in futuro ogni emittente di asset fosse obbligato a integrare un meccanismo di verifica in tempo reale degli asset; se Aave scrivesse in un contratto intelligente una regola fissa: “Appena si scopre che il numero di token emessi da un protocollo upstream supera la quantità reale di ETH bloccata off-chain, interrompere immediatamente tutte le transazioni di prestito di quell'asset!” Allora, i falsi soldi stampati dagli hacker sui ponti cross-chain non potranno mai essere monetizzati per arbitraggio in Aave.
Conclusione: l'esplosione di rsETH non è un metodo nuovo; gli attacchi alle autorizzazioni dei ponti cross-chain da parte degli hacker si verificano ogni anno. Ciò che è realmente cambiato è che la portata degli attacchi degli hacker è sempre più ampia, toccando ogni aspetto.
Questa tempesta ha lasciato la lezione più profonda per DeFi: non fidarti ciecamente dell'“esecuzione automatica dei contratti intelligenti”, non dare per scontata la “composabilità” come fiducia.
Nella foresta oscura, solo un rigoroso meccanismo di interruzione on-chain e una verifica in tempo reale degli asset sottostanti possono essere l'ultima linea di difesa per proteggere i fondi degli investitori retail.
⚠️ 【Disclaimer】Il contenuto di questo articolo si basa sulla prospettiva dell'ex fornitore di servizi di rischio di Aave, Chaos Labs (nota: ha terminato la collaborazione operativa con Aave il 6 aprile). I dati provengono da fonti online. Non costituisce alcun consiglio di investimento o operazione, né si assume responsabilità per la veridicità dei dati. Si prega di effettuare ricerche indipendenti e decidere con cautela.
🌹 Se ti è piaciuto questo approfondimento, sentiti libero di mettere un like, seguire, commentare e condividere! Il tuo supporto è la nostra maggiore motivazione per continuare a produrre contenuti.
